Подключается к SQL Server в том же домене, но возникает ошибка ненадежного домена?

У нас есть несколько веб-приложений IIS, работающих на нескольких веб-серверах, которые подключаются к SQL Server на отдельном компьютере в том же домене.

Все работало без сбоев больше года, затем у нас возникли серьезные проблемы с сетью. Возникла проблема с репликацией между основным и дополнительным контроллерами домена. Возникла проблема со службами распределенной файловой системы, идентификатор события 14530 (DFS не могла получить доступ к своим личным данным из Active Directory).

Мы, по-видимому, разобрались с проблемами сети, за исключением того, что теперь ни одно из веб-приложений IIS не может подключаться к SQL Server. Мы используем проверку подлинности Windows. Сообщение об ошибке: Ошибка входа. Логин из ненадежного домена и не может использоваться с аутентификацией Windows. Это странно, потому что мы проверили, что и веб-серверы, и SQL Server действительно находятся в домене.

Чтобы сделать ситуацию еще более странной, администратор сети удалил SQL Server из домена и снова присоединился к нему, и веб-сайты снова заработали ... но только в течение нескольких минут. Затем та же ошибка начала повторяться снова!

Администратор сети и я работаем над этим вопросом несколько дней. Любые идеи были бы хорошы.

Изменить:

Мы можем подключиться с помощью SSMS. Также могут подключаться приложения, не использующие IIS. Например, у нас есть разработчик с некоторыми приложениями Fox и Cloud, которые используют строки подключения, которые могут подключаться.

Мы попытались удалить и повторно добавить веб-серверы в домен.

Ошибки в журнале SQL Server следующие:

Вход в систему не удался. Логин из ненадежного домена и не может использоваться с аутентификацией Windows.

Ошибка: 18452, уровень серьезности: 14, состояние: 1.

Подтверждение связи SSPI не удалось с кодом ошибки 0x80090311 при установлении соединения со встроенной безопасностью; соединение было закрыто.

Ошибка: 17806, уровень серьезности: 20, состояние: 2.

Изменить 2:

Сегодня утром системный журнал одного из веб-серверов содержал следующую ошибку:

Этот компьютер не смог пройти аутентификацию с помощью [контроллера домена], контроллера домена Windows для домена [имя домена], и поэтому этот компьютер может отклонять запросы на вход в систему. Невозможность аутентификации может быть вызвана тем, что другой компьютер в той же сети использует то же имя или пароль для этой учетной записи компьютера не распознается. Если это сообщение появится снова, обратитесь к системному администратору.

Изменить 3:

Я пробовал почти все, что предлагается в этот поток, включая проверку того, что пользователь не заблокирован, срок действия пароля не истек и файл hosts не содержал недопустимой записи для localhost.


sql sql-server active-directory iis windowsdomainaccount
person Johnny Tisdale    schedule 16.05.2019    source источник
comment
Вот что я бы сделал: с помощью клиента SQL (Management Studio) убедитесь, что вы можете подключиться к серверу SQL с помощью проверки подлинности Windows. Если это сработает, удалите и снова присоедините один веб-сервер к домену и посмотрите, решит ли это проблему для этого конкретного веб-сервера. Проверьте журналы Windows на наличие ошибок на веб-сервере.   -  person Vasya    schedule 16.05.2019
comment
@Vasya Спасибо. Я соответствующим образом отредактировал свой вопрос.   -  person Johnny Tisdale    schedule 16.05.2019
comment
@Vasya Я добавил очередную правку с ошибкой из лога веб-сервера.   -  person Johnny Tisdale    schedule 16.05.2019
comment
Затем убедитесь, что веб-сервер подключен к домену. Можете ли вы получить доступ к сетевым ресурсам с веб-сервера? Правильно ли время на веб-сервере? Как настраиваются веб-приложения? Попробуйте использовать SQL-вход в веб-приложение и посмотрите, работает ли это. Когда вы удаляете веб-сервер из домена, вы также удаляете учетную запись компьютера в AD?   -  person Vasya    schedule 16.05.2019
comment
Вы проверяли, не истек ли срок действия пароля учетной записи службы? Также проверьте stackoverflow.com/questions/546746/   -  person Piotr    schedule 16.05.2019
comment
@Vasya Веб-сервер фактически подключен к домену. Я могу получить доступ к общим веб-ресурсам с веб-сервера. Время на веб-сервере правильное. Веб-приложения - PHP. Они подключаются к SQL с использованием проверки подлинности Windows. Мои приложения указывают учетные данные пользователя в IIS и информацию о базе данных в файлах конфигурации Laravel. Приложение другого разработчика подключается с помощью sqlsrv функций. Когда сетевой администратор удалил компьютеры из домена, он также не удалил их в AD. Должен ли он?   -  person Johnny Tisdale    schedule 16.05.2019
comment
@Piotr Да, я перепробовал почти все, что предлагалось в этой ветке.   -  person Johnny Tisdale    schedule 16.05.2019
comment
@dreadfulabyss: да, учетная запись компьютера должна быть удалена из AD перед повторным присоединением к домену, чтобы избежать конфликтов. Я бы сделал это как для SQL-сервера, так и для веб-сервера.   -  person Vasya    schedule 16.05.2019